偵測

Python 程式庫 Django 4.2.x < 4.2.29 / 5.2.x < 5.2.12 / 6.0.x < 6.0.3 DoS

high Nessus Plugin ID 300915

語言:

概要

遠端主機上安裝的 Python 程式庫受到拒絕服務弱點影響。

說明

偵測到的 Django Python 套件版本是比 4.2.294.2.x ] 舊的 、比 5.2.x 舊的 5.2.12或比 6.0.x 舊的 6.0.3。因此會受到安全性版本公告所提及的一個拒絕服務弱點影響

 - 在 6.0 之前的 6.0.3、 5.2 之前的 5.2.12和 4.2 之前的 4.2.29中發現一個問題。 Django 中的「URLField.to_python()」呼叫「urllib.parse.urlsplit()」而後者會在速度慢得不成比例的 Windows 上執行 NFKC 標準化作業進而讓遠端攻擊者透過含有這些字元的大型 URL 輸入個字元。之前未評估不受支援的 Django 系列 (例如 5.0.x、 4.1.x和 3.2.x)因此也可能受到影響。 (CVE-2026-25673)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Django 4.2.29、5.2.12、6.0.3 版或更新版本。

另請參閱

https://www.djangoproject.com/weblog/2026/mar/03/security-releases/

Plugin 詳細資訊

嚴重性: High

ID: 300915

檔案名稱: python_django_6_0_3.nasl

版本: 1.2

類型: local

代理程式: windows

系列: Windows

已發布: 2026/3/5

已更新: 2026/3/9

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2026-25673

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2026-25673

弱點資訊

CPE: cpe:/a:djangoproject:django

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/3/3

弱點發布日期: 2026/3/3

參考資訊

CVE: CVE-2026-25673

IAVA: 2026-A-0199